Como configurar e utilizar o porto SSH? Paso a paso

Segura de shell, ou abreviado como SSH, é unha das máis avanzadas tecnoloxías de protección de datos na transmisión. O uso de tal réxime no mesmo router permite non só a confidencialidade da información, senón tamén para acelerar o intercambio de paquetes. Con todo, non todos saben tanto como para abrir a porta SSH, e por que todo isto é necesario. Neste caso, é necesario dar unha explicación construtiva.

Porto SSH: que é e por que necesitamos?

Xa que estamos falando de seguridade, neste caso, baixo a porta SSH para ser entendido canle dedicada na forma dun túnel, que ofrece cifrado de datos.

O esquema máis primitiva deste túnel é que un SSH porta aberta é usado por defecto para cifrar datos na fonte e descifrado no punto de extrema. Isto pode ser explicado do seguinte xeito: se che guste ou non, transmitido tráfico, ao contrario do IPSec, cifrada baixo compulsão eo terminal da rede de saída, e no lado de recepción da entrada. Para descifrar a información transmitidas nesta canle, o terminal receptor usa unha clave especial. Noutras palabras, para intervir na transferencia ou comprometer a integridade dos datos transmitidos no momento non se pode sen unha clave.

Só a apertura SSH porta en calquera router ou usando a configuración apropiadas de cliente adicional interactúa directamente co SSH-servidor, permítelle empregar plenamente todas as características de sistemas de seguridade de rede modernos. Estamos aquí de como utilizar unha porta que se lle atribúe polas configuración por defecto ou personalizadas. Estes parámetros na aplicación pode parecer difícil, pero sen unha comprensión da organización dunha conexión tal non é suficiente.

porta SSH defecto

Se, de feito, a partir dos parámetros de calquera dos router debe primeiro determinar a orde, que tipo de software será usado para activar a ligazón. De feito, a porta SSH estándar pode configuracións distintas. Todo depende de que método é usado no momento (conexión directa co servidor, a instalación de reenvío de porta cliente adicional e así por diante. D.).

Por exemplo, se o cliente utilizado Tagarele, para conexións correctas, cifrado e transferencia porta de datos 443 é para ser usado, aínda que a forma de realización é definida no estándar de porta 22.

Para reiniciar o router para a distribución dun determinado programa ou procesar as condicións necesarias deben realizar reenvío de porta SSH. ¿Que é iso? É a propósito de un acceso específico a un único programa que usa unha conexión a Internet, independentemente de cal definición é actual protocolo de intercambio de datos (IPv4 ou IPv6).

Xustificación técnica

porta SSH estándar 22 non sempre se usa como xa estaba claro. Con todo, aquí é necesario reservar algunhas das características e as opcións utilizadas durante a instalación.

Por cifrado protocolo de confidencialidade de datos implica o uso de SSH como un (invitado) porta de usuario puramente externa? Pero só porque túnel aplícase que permite o uso dun chamado shell remoto (SSH), para acceder ao manexo de terminais mediante login remoto (slogin), e aplicar o procedemento de copia remota (SCP).

Ademais, SSH porta pode ser activado no caso de que o usuario é necesario para executar scripts remotos X Windows, que no caso máis simple é unha transferencia de información a partir dunha máquina a outra, como xa se dixo, cunha codificación de datos forzado. En tales situacións, o máis necesario empregarase a base do algoritmo AES. Este é un algoritmo de cifrado simétrico, que foi orixinalmente subministrado en tecnoloxía SSH. E usalo non só posible senón necesario.

Historia da realización

A tecnoloxía apareceu por un longo tempo. Imos deixar de lado a cuestión de como facer porta xeo SSH, e concentrarse en como todo funciona.

Normalmente ven abaixo, para usar un proxy con base en medias ou usar túneles VPN. No caso de calquera aplicación de software pode traballar con VPN, mellor escoller esta opción. O feito de que usar case todos os programas coñecidos hoxe o tráfico de Internet, a VPN pode traballar, pero a configuración facilmente enrutamento non é. Este, como no caso dos servidores proxy, permite deixar a dirección externa da terminal desde o que o producido actualmente na rede de saída, non recoñecido. Ese é o caso co enderezo do proxy está sempre mudando, ea versión VPN permanece inalterada coa fixación dunha determinada rexión, diferente ao onde hai unha prohibición de acceso.

A mesma tecnoloxía que ofrece porta SSH, foi desenvolvido en 1995 na University of Technology en Finlandia (SSH-1). En 1996, as melloras foron engadidas en forma de SSH-2 protocolo, que foi bastante difundida no espazo post-soviético, aínda que para iso, así como nalgúns países de Europa Occidental, ás veces é necesario obter permiso para usar este túnel, e de axencias gobernamentais.

A principal vantaxe de apertura de SSH-porta, ao contrario de telnet ou Rlogin, é o uso de sinaturas dixitais RSA é DSA (o uso dun par de aberta e unha chave enterrado). Ademais, nesta situación, pode utilizar o chamado clave de sesión baseado Diffie-Hellman algoritmo, que implica o uso dunha saída de cifrado simétrica, aínda que non impide o uso de algoritmos de cifrado asimétrica durante a transmisión e recepción de datos doutra equipo.

Servidores e shell

En Windows ou Linux aberto SSH-Port non é tan difícil. A única cuestión é, que tipo de ferramentas para este fin serán utilizados.

Neste sentido, é necesario prestar atención á cuestión da transmisión de información e de autenticación. En primeiro lugar, o propio protocolo é suficientemente protexidos pola sniffing chamada, que é a máis habitual "escoitas" de tráfico. SSH-1 resultou ser vulnerable a ataques. Interferencia no proceso de transferencia de datos en forma de un réxime de "Man in the middle" tivo os seus resultados. Información podería simplemente interceptar e descifrar moi elemental. Pero a segunda versión (SSH-2) foi inmune a este tipo de intervención, coñecido como secuestro de sesión, grazas ao que é máis popular.

Bans seguridade

En canto á seguridade en relación aos datos transmitidos e recibidos, a organización de conexións establecidas co uso de tal tecnoloxía permite evitar os seguintes problemas:

• clave de identificación para o anfitrión do paso de transmisión, cando unha "» de pegadas;
• Soporte para sistemas UNIX-like Windows e;
• substitución de enderezos IP e DNS (spoofing);
• interceptando contrasinal aberta con acceso físico ao canle de datos.

En realidade, toda a organización dun tal sistema está construído sobre o principio de "cliente-servidor", isto é, ante todo, o ordenador do usuario a través dun programa especial ou add-in chamadas ao servidor, que produce unha redirección correspondente.

tunneling

Nin que dicir ten que a posta en marcha da conexión deste tipo nun controlador especial debe ser instalado no seu sistema.

Normalmente, en sistemas baseados en Windows está incorporado no condutor shell programa Microsoft teredo, que é un tipo de medio de emulación virtuais de IPv6 en redes de apoio única IPv4. adaptador de túnel estándar está activa. En caso de fallo asociado a el, pode só facer un reinicio do sistema ou realizar un apagado e reiniciar comandos da consola de comandos. Para desactivar tales liñas son utilizadas:

• netsh;
• interface do Estado set teredo con discapacidade;
• Interface isatap definir o estado desactivado.

Despois de introducir o comando debe reiniciar. Para reactivar o adaptador e comprobar o estado de persoas con discapacidade en vez da licenza de rexistros activado, despois do cal, unha vez máis, debe reiniciar o sistema enteiro.

SSH-servidor

Agora imos ver como a porta SSH é usado como o núcleo, a partir do esquema de "cliente-servidor". O estándar é aplicado xeralmente 22 minutos a porta, pero, como mencionado arriba, se pode usar eo 443. A única cuestión na preferencia do servidor.

Os SSH-servidores máis comúns é considerado o seguinte:

• para Windows: Tectia SSH Server, OpenSSH con Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, CopSSH, freeSSHd;
• para FreeBSD: OpenSSH;
• para Linux: Tectia SSH Server, ssh, OpenSSH-Server, LSH-servidor, dropbear.

Todos os servidores son libres. Con todo, podes atopar e servizos pagos que ofrecen niveis aínda maiores de seguridade, que é esencial para a organización do acceso á rede e seguridade da información nas empresas. O custo de tales servizos non é discutido. Pero, en xeral, podemos dicir que é relativamente barato, mesmo en comparación coa instalación dun programa especial ou firewall "hardware".

SSH-cliente

Port cambio SSH se pode facer na base do programa de cliente ou a configuración apropiadas cando a porta de encamiñamento no router.

Con todo, se tocar o shell cliente, os seguintes produtos de software pode ser usado para varios sistemas:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, Xshell, ProSSHD etc; ..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux e BSD: LSH-cliente, kdessh, OpenSSH-client, vinagre, masa de cristaleiro.

A identificación baseado na chave pública e cambiar a porta

Agora, algunhas palabras sobre a verificación e configuración dun servidor. No caso máis simple, ten que usar un ficheiro de configuración (sshd_config). Con todo, pode facer sen el, por exemplo, no caso de programas como o PuTTY. Port cambio SSH do valor predeterminado (22) a calquera outro é totalmente elemental.

A principal cousa - para abrir un número de porto non supere o valor de 65535 (portas maiores simplemente non existen na natureza). Ademais, debe prestar atención a algunhas portas abertas por defecto, que pode ser usado por clientes como bases de datos MySQL ou FTPD. Se especifica-los para a configuración SSH, por suposto, eles simplemente deixar de funcionar.

É interesante notar que o mesmo cliente Jabber debe estar en execución no mesmo ambiente mediante SSH-servidor, por exemplo, nunha máquina virtual. E localhost máis servidor debe asignar un valor para 4430 (en vez de 443, como mencionado arriba). Esta configuración pode ser usado cando o acceso ao principal jabber.example.com ficheiro bloqueada polo cortalumes.

Por outra banda, os portos de transferencia pode ser o router usando a configuración da súa interface coa creación de excepcións ás regras. Na maior parte dos modelos de entrada a través de enderezos de entrada empezando 192.168 suplementado con 0,1 ou 1,1, pero routers Combinando as capacidades de ADSL-módems como Mikrotik, enderezo final implica a utilización de 88,1.

Neste caso, crear unha nova regra, a continuación, definir os parámetros necesarios, por exemplo, para instalar a conexión externa DST-NAT, así como portas prescritas manualmente non están baixo as opcións xerais e na sección de preferencias Activismo (acción). Nada moi complicado aquí. A principal cousa - para especificar os valores necesarios de configuración e establecer o porto correcto. Por defecto, pode utilizar o porto 22, pero se o cliente usa un especial (algúns dos anteriores para sistemas diferentes), o valor pode ser alterado arbitrariamente, pero só para que este parámetro non superar o valor declarado, por riba do cal os números de porta simplemente non están dispoñibles.

Cando configura conexións tamén debe prestar atención para os parámetros do programa cliente. Pode moi ben ser que, nas súas opcións ten que especificar o tamaño mínimo da clave (512), aínda que o defecto é xeralmente definida 768. Tamén é desexable para definir o tempo de espera para facer sesión para o nivel de 600 segundos e permiso de acceso remoto con dereitos de administrador. Despois de aplicar esta configuración, ten que permitir tamén o uso de todos os dereitos de aceso excepto para as baseado na .rhost uso (pero é necesario só para os administradores de sistema).

Entre outras cousas, o nome de usuario rexistrado no sistema, non o mesmo que introduciu no momento, el debe estar explicitamente mediante o comando mestre do usuario SSH coa introdución de parámetros adicionais (para os que entenden o que está en xogo).

Equipo ~ / .ssh / id_dsa se pode usar para a transformación da chave eo método de codificación (ou RSA). Para crear unha chave pública usada pola conversión a través da liña de ~ / .ssh / identity.pub (pero non necesariamente). Pero, como amosa a práctica, o xeito máis doado de usar comandos como ssh-keygen. Aquí a esencia da cuestión redúcese só ao feito, para engadir a clave para as ferramentas de identificación dispoñibles (~ / .ssh / authorized_keys).

Pero temos demasiado lonxe. Se voltar á cuestión configuración de porta SSH, como foi porta cambio SSH clara non é tan difícil. Con todo, en ocasións, din, vai ter que suar, porque a necesidade de ter en conta todos os valores de parámetros clave. O resto do problema de configuración resúmese a entrada de calquera programa de servidor ou cliente (se se inclúe) ou para usar o reenvío de porta no router. Pero, aínda en caso de cambio da porta 22, o patrón, ao mesmo 443, debe ser claramente entendido que tal esquema non sempre funciona, pero só no caso de instalar o mesmo add-in Jabber (outros análogos pode activar e as súas respectivas portas, difire do estándar). Ademais, debe ser dada especial atención parametrización SSH-cliente, que pode interactuar directamente co SSH-servidor, se está realmente debería usar a conexión actual.

En canto ao resto, se o reenvío de porta non se inclúe inicialmente (aínda que sexa desexable para realizar tales accións), a configuración e opcións de acceso vía SSH, non pode cambiar. Hai algún problema á hora de crear unha conexión, eo seu uso aínda máis, en xeral, non é esperada (a non ser, claro, non vai ser usado manualmente configurar o servidor baseado en configuración e cliente). As excepcións máis comúns para a creación de regras no router permite que corrixir os problemas ou evitalos.